内存取证CTF-Memlabs靶场6

1.挑战说明

我们从情报局收到了这个内存转储。 他们说这个证据可能包含黑帮大卫本杰明的一些秘密。这个内存转储是从本周早些时候被 FBI 逮捕的他的一名员工那里获取的。你的工作是通过内存转储,看看你是否能找出一些东西。FBI还表示,大卫通过互联网与他的工人交流,因此这可能是一个很好的起点。

注意:此挑战由 1 个标志组成,分为 2 个部分。

本实验的标志格式为: inctf{s0me_l33t_Str1ng}

靶场地址:https://github.com/stuxnet999/MemLabs/tree/master/Lab%206

2.Flag后半段

2.1 获取镜像操作系统

得到操作系统版本为Win7SP1x64

vol.py -f /root/Desktop/memlabs/lab6/MemoryDump_Lab6.raw imageinfo

2.2 查看cmd输出

找到一个敏感文件flag.rar

vol.py -f /root/Desktop/memlabs/lab6/MemoryDump_Lab6.raw --profile=Win7SP1x64 cmdline

2.3 文件提取进行转储

vol.py -f /root/Desktop/memlabs/lab6/MemoryDump_Lab6.raw --profile=Win7SP1x64 filescan |grep flag.rar
vol.py -f /root/Desktop/memlabs/lab6/MemoryDump_Lab6.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000005fcfc4b0 -D ../memlabs/lab6
mv file.None.0xfffffa800138d750.dat flag.rar

2.4 尝试访问flag.rar

需要密码进行解压,我们先放到一边,找一下密码的线索

2.5 环境变量中寻找rar密码

vol.py -f /root/Desktop/memlabs/lab6/MemoryDump_Lab6.raw --profile=Win7SP1x64 envars -p 3716

使用envars寻找WinRAR.exe的变量,在Variable变量中找到RAR password,其值为:easypeasyvirus

2.6 使用密码成功解压缩

2.7 获取Flag2

拿到了Flag2的内容:aN_Am4zINg_!_i_gU3Ss???_}

3.Flag前半段

3.1 读取Chrome浏览器历史记录

找到链接https://pastebin.com/RSGSi1hk

vol.py --plugins=./plugins -f /root/Desktop/memlabs/lab6/MemoryDump_Lab6.raw --profile=Win7SP1x64 chromehistory > ../memlabs/lab6/chrome.txt

3.2 提示中给出了一个google文档

并且提示我们密钥就在邮件中

https://www.google.com/url?q=https://docs.google.com/document/d/1lptcksPt1l_w7Y29V4o6vkEnHToAPqiCkgNNZfS9rCk/edit?usp%3Dsharing&sa=D&source=hangouts&ust=1566208765722000&usg=AFQjCNHXd6Ck6F22MNQEsxdZo21JayPKug

3.3 在文档中找到一个网盘链接

https://mega.nz/#!SrxQxYTQ

3.4 打开网盘需要密钥

3.5 搜索镜像中带有Mega字符的ASCII文本

strings -n 500 ../memlabs/lab6/MemoryDump_Lab6.raw|grep Mega

密钥值为:THE KEY IS zyWxCjCYYSEMA-hZe552qWVXiPwa5TecODbjnsscMIU

3.6 尝试打开图片

怀疑图片可能损坏,无法正常访问

3.7 在检查PNG规范后,发现标题处有问题

3.8 修改69为49,并进行保存

3.9 获取Flag

Flag前半段值为:inctf{thi5_cH4LL3Ng3_!s_g0nn4_b3_?_

3.10 全部Flag

结合前后半段Flag,最终值为:inctf{thi5_cH4LL3Ng3_!s_g0nn4_b3_?_aN_Am4zINg_!_i_gU3Ss???_}

  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值